Die Frage nach Informationssicherheit wird spätestens seit der NSA-Affäre auch in Unternehmen zunehmend öfter gestellt. Im...
Informationssicherheit betrifft jedes Unternehmen, dass im Wettbewerb steht. An Informationen über geplante Produkte oder ...
Um ein informationsgesicherte Übersetzungsprozesse zu gestalten bedarf es immer zuerst einer Risikoanalyse. Hierbei werden...
12.11.2014 
RWS Group - www.rws-group.de 
6 
tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
Informationssicherheit ist nicht nur IT-Sicherheit. Informationssicherheit bezieht sich sowohl auf technische wir auch auf...
Die Perspektive Datensicherheit bezieht sich auf den Schutz von Daten und Informationen vor Verlust und somit auch auf die...
Ein Verlust von Daten kann sowohl durch Schäden in und an den IT- Systemen ergeben. Beispiele hierfür sind das Löschen ode...
Ein weiteres Risiko besteht im Verlust oder in der Beschädigung der physischen Datenträger. Dies betrifft sowohl elektroni...
In der zweiten Perspektive betrachten wir die Risiken hinsichtlich des Ausspähens von Informationen. 
12.11.2014 
RWS Grou...
Informationen können heutzutage auch über große Entfernungen abgegriffen werden. So ist es bspw. bereits möglich aus den B...
Die Einführung eines Besuchermanagements dient zum einen dazu einen Überblick zu bekommen, welche betriebsfremden Personen...
Die Speicherung von Daten erscheint gemeinhin als ein üblicher Angriffspunkt für das Ausspähen von Daten. In der Presse li...
In der Presse liest man immer wieder von Aktenfunden verschiedenster Art. Um dieses zu verhindern empfiehlt es sich grunds...
Zugriffskontrolle umfasst alle Maßnahmen mit denen man Sicherstellen kann, dass 
1.nur berechtigte Personen Zugriff auf ge...
Zutrittskontrolle ist die Basis um sicherzustellen, dass unbefugte Personen keinen Zutritt zu Bereichen erhalten, wo gesch...
Betriebsrat in den unternehmen einbezogen werden. 
tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess...
Zusätzlich zur Sicherung der Bereiche müssen natürlich auch die IT-Systeme und ggf. auch die Lager gesichert werden. 
Bei ...
Genau wie ein Zonenkonzept im Büro die vertraulichen und geheimen Informationen sichern soll, braucht es auch eine Separat...
Oft ist es erforderlich auch vertrauliche Daten zwischen Unternehmen oder zu einzelnen Personen zu übertragen. Grundsätzli...
Die einzusetzende Verschlüsselung muss den jeweils aktuellen Standards entsprechen. Im Laufe der Zeit verlieren bestehende...
Der Einsatz von Webservices gewinnt im Unternehmensalltag zunehmend an Bedeutung. Aus Sicht der Informationssicherheit dür...
Bei einer physischen Datenübertragung bspw. über Ausdrucke sind diese in speziell gesicherten Transportbehältern zu sicher...
Alle im Zuge eines Informationssicherheitskonzeptes umzusetzenden Maßnahmen basieren sowohl auf dem Einsatz von Technologi...
Übersetzungsprozesse sind in vielen Unternehmen geprägt durch den Einsatz von Übersetzungsdienstleistern und in der Folge ...
Im ersten Schritt ist es der Auftraggeber, der die umzusetzenden Anforderungen für alle weiteren Maßnahmen zur Einhaltung ...
Hierzu muss der Übersetzungsdienstleister in einer Vielzahl von Bereichen technische und prozessuale Lösungen anbieten. 
B...
Bei der Auswahl der Mitarbeiter oder Lieferanten bedarf es daher eines strukturierten Prozesses. Da diese Prozesse oft ein...
Je nach den spezifischen Anforderungen entsprechend der Klassifizierung der zu bearbeitenden Dokumente erhalten Mitarbeite...
Die Umsetzung eines Zonenkonzeptes bedeutet oft einen nennenswerten finanziellen Aufwand da es oft mit baulichen Veränderu...
Zur Umsetzung einer sicheren IT-Struktur bedarf es sicherer Lösungen für den Zugriff auf Informationen und zum Schutz gege...
Der größte Risikofaktor bei der Umsetzung von Informationssicherheit ist der Mensch. Die Auswahl der eingesetzten Mitarbei...
34 
Weitere Informationen zur Informationssicherheit im Übersetzungsprozess erhalten Sie über 
RWS Group Deutschland GmbH ...
Informationssicherheit im Übersetzungsprozess
Informationssicherheit im Übersetzungsprozess
Informationssicherheit im Übersetzungsprozess
Informationssicherheit im Übersetzungsprozess
Nächste SlideShare
Wird geladen in …5
×

Informationssicherheit im Übersetzungsprozess

824 Aufrufe

Veröffentlicht am

Die Frage nach Informationssicherheit wird spätestens seit der NSA-Affäre auch in Unternehmen zunehmend öfter gestellt. Im Vortrag werden die sich hieraus ergebenden Anforderungen für Übersetzungsdienstleister und ihre Auftraggeber anhand der Vorgaben der ISO 27001 vorgestellt. Neben den formalen Anforderungen im Bereich der Prozessgestaltung, Aspekten der physischen Sicherheitseinrichtungen und der IT werden auch die speziellen Besonderheiten beim Einsatz von Freelancern in gesicherten Prozessen diskutiert und praxisnahe Lösungsansätze aufgezeigt. Weitere Informationen unter www.rws-group.de/de/uebersetzung/rws-secure-translations/

Veröffentlicht in: Serviceleistungen
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
824
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
4
Aktionen
Geteilt
0
Downloads
4
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Informationssicherheit im Übersetzungsprozess

  1. 1. Die Frage nach Informationssicherheit wird spätestens seit der NSA-Affäre auch in Unternehmen zunehmend öfter gestellt. Im Vortrag werden die sich hieraus ergebenden Anforderungen für Übersetzungsdienstleister und ihre Auftraggeber anhand der Vorgaben der ISO 27001 vorgestellt. Neben den formalen Anforderungen im Bereich der Prozessgestaltung, Aspekten der physischen Sicherheitseinrichtungen und der IT werden auch die speziellen Besonderheiten beim Einsatz von Freelancern in gesicherten Prozessen diskutiert und praxisnahe Lösungsansätze aufgezeigt. 12.11.2014 RWS Group - www.rws-group.de 3 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  2. 2. Informationssicherheit betrifft jedes Unternehmen, dass im Wettbewerb steht. An Informationen über geplante Produkte oder Dienstleistungen, über Produktionsprozesse oder Kampagnen interessieren sich nicht nur große Organisationen sondern auch Wettbewerber. Darüber hinaus gibt es Informationen und Daten, für die es gesetzliche Vorschriften zum Bereich Informationsschutz gibt. Aus diesem Grund wenden sich immer mehr Unternehmen dem Thema Informationssicherheit zu und erarbeiten bspw. auf Basis der ISO 27001 Konzepte zum Schutz der Informationssicherheit. Unternehmen, die ihre Produkte oder Dienstleistungen global anbieten, oder die über global aufgestellte Lieferantenbeziehungen verfügen, oder die selbst international aufgestellt sind benötigen dann auch für die Übersetzung vertraulicher oder geheim zuhaltender Informationen Konzepte zur Informationssicherheit im Übersetzungsprozess. 12.11.2014 RWS Group - www.rws-group.de 4 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  3. 3. Um ein informationsgesicherte Übersetzungsprozesse zu gestalten bedarf es immer zuerst einer Risikoanalyse. Hierbei werden die vorhandenen Prozesse genau analysiert und Gefährdungen, Schadenswahrscheinlichkeit und die Höhe des möglichen Schadens ausgewertet. Dabei sind nicht nur die internen Prozesse zu berücksichtigen, sondern auch alle Prozesse bei externen Dienstleistern und natürlich auch auf den verwendeten Übertragungswegen. Entsprechend der ermittelten Risiken sind dann geeignete und wirtschaftlich sinnvolle Maßnahmen zu planen und umzusetzen. 12.11.2014 RWS Group - www.rws-group.de 5 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  4. 4. 12.11.2014 RWS Group - www.rws-group.de 6 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  5. 5. Informationssicherheit ist nicht nur IT-Sicherheit. Informationssicherheit bezieht sich sowohl auf technische wir auch auf prozessuale Aspekte. Ziel ist es, Informationen sowohl vor unbefugtem zugriff zu schützen als auch die Informationen zu rechten Zeit am rechten Ort zur Verfügung stellen zu können. Informationen, die so sicher geschützt sind, dass sie auch berechtigte Stellen nicht mehr nutzen können sind wertlos. Für die Betrachtung der Informationssicherheit lassen sich mehrere Perspektiven definieren: 1.Datensicherheit 2.Ausspähschutz 3.Zugriffkontrolle 4.Datenübertragung 12.11.2014 RWS Group - www.rws-group.de 7 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  6. 6. Die Perspektive Datensicherheit bezieht sich auf den Schutz von Daten und Informationen vor Verlust und somit auch auf die Verfügbarkeit von Daten. 12.11.2014 RWS Group - www.rws-group.de 8 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  7. 7. Ein Verlust von Daten kann sowohl durch Schäden in und an den IT- Systemen ergeben. Beispiele hierfür sind das Löschen oder Überschreiben von Daten. Hier gibt es eine Vielzahl von bewährten Lösungen für Backups, die auch in den meisten Unternehmen bereits fest etabliert sind. Neben den reinen Backups von Daten zu einem bestimmten Zeitpunkt bedarf es auch einer Versionierung von Daten. Hierbei wird sichergestellt, dass man überprüfen kann ob die verwendeten Daten auch dem gewünschten Stand entsprechen. Sinnvollerweise werden daher die Daten sowohl mit einer definierten Versionierung versehen und an definierten Orten gespeichert, so dass jederzeit erkennbar ist, ob möglicherweise ein aktuelleres Dokument vorhanden ist. Wichtig ist es, die Funktionalität der eingesetzten Systeme auch für einen möglichen Schadensfall zu testen. In der Praxis haben viele IT-Abteilungen unerwartete viele Probleme Daten von Backupmedien wiederherzustellen. 12.11.2014 RWS Group - www.rws-group.de 9 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  8. 8. Ein weiteres Risiko besteht im Verlust oder in der Beschädigung der physischen Datenträger. Dies betrifft sowohl elektronische Systeme als auch bspw. Informationen auf Papier. Die größten Risiken bestehen im Verlust durch Einbruch Diebstahl oder dem verlieren bspw. von mobilen Geräten, der Beschädigung durch Feuer oder andere äußerer Umwelteinflüsse wie bspw. Hochwasser oder Sturm. Je nach Risikobewertung sind hier entsprechende Vorkehrungen zu treffen. Beispiele sind: •Feuersicherer Tresor für Backupdaten in einer anderen Brandschutzzone •Verlegen des Serverraumes in höhergelegene Räumlichkeiten •Installation von Schutzanlagen gegen Überspannungsschäden •Installation von Alarmanlagen •Verschlüsselung von Datenträgern, insb. bei mobilen Geräten. Neben der Umsetzung technischer Schutzmaßnahmen empfiehlt es sich auch geeignete Prozesse für das Verhalten im Schadensfall vorzusehen und mit den betreffenden Personen einzuüben. 12.11.2014 RWS Group - www.rws-group.de 10 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  9. 9. In der zweiten Perspektive betrachten wir die Risiken hinsichtlich des Ausspähens von Informationen. 12.11.2014 RWS Group - www.rws-group.de 11 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  10. 10. Informationen können heutzutage auch über große Entfernungen abgegriffen werden. So ist es bspw. bereits möglich aus den Bewegungen von Blättern von Grünpflanzen in einem Büro die dort gesprochenen Worte abzuhören. Dementsprechend ist durch geeignete Maßnahmen, wie speziellen Sichtschutzfolien dafür zu sorgen, dass keine Einsicht von Außen in geschützte Bereiche möglich ist. Auch innerhalb der Gebäude sollte zwischen Arbeitsplätzen ein Sichtschutz angebracht werden, damit sichergestellt werden kann, dass der Personenkreis, der Zugriff auf geschützte Informationen hat möglichst klein bleibt. Neben einem Sichtschutz sind ggf. auch geeignete Maßnahmen gegen unbeabsichtigtes Mithören zu treffen. Besonders beim Arbeiten außer Haus sind besondere Vorkehrungen zu treffen. Allzu oft sieht man auch ohne es zu beabsichtigen auf die Bildschirme von arbeitenden Personen in Flugzeugen oder in der Bahn. Hier können spezielle Schutzfolien Abhilfe schaffen. Besser ist es natürlich, zu schützende Informationen nicht in öffentlichen Bereichen abzurufen. 12.11.2014 RWS Group - www.rws-group.de 12 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  11. 11. Die Einführung eines Besuchermanagements dient zum einen dazu einen Überblick zu bekommen, welche betriebsfremden Personen anwesend sind und zu welchen Bereichen Sie Zugang haben. Es ist selbstverständlich, dass Besucher nicht in Bereiche gelangen sollen, in denen zu schützende Informationen bearbeitet werden. Hier hilft ein entsprechendes Zonenkonzept die öffentlichen und die zu schützenden Bereiche klar abzugrenzen. Üblich ist ferner ein Fotografierverbot zumindest in den geschützten Zonen und die Einschränkung der Nutzung elektronischer Geräte. Es sollte selbstverständlich sein, dass Besucher keinen Zugriff auf das Unternehmensnetzwerk erhalten sollten. Dies bedeutet aber auch, dass es keine entsprechenden zugangspunkte wie offene Netzwerkdosen oder ein ungesichertes WLAN geben sollte. Allgemein wird die Umsetzung dieser Anforderungen zunehmend schwieriger, denn immer kleinere und unauffälligere Geräte machen so manchen Besucher zum gewollten oder auch ungewollten Spion. 12.11.2014 RWS Group - www.rws-group.de 13 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  12. 12. Die Speicherung von Daten erscheint gemeinhin als ein üblicher Angriffspunkt für das Ausspähen von Daten. In der Presse liest man immer wieder davon, dass Daten die bei Internet-Providern verschiedenster Art abgelegt sind, von Dritten ausgespäht werden. Allgemein sollten daher keine zu schützenden Informationen auf ungeschützten Cloud-Speichern abgelegt werden. Allgemein bedeutet dies, dass Mitarbeiter nur Cloud-Dienste einsetzen dürfen, die zuvor vom Unternehmen geprüft und deren Verwendung explizit zugelassen wurde. Interessant sind hierbei die zunehmenden Tendenzen gerade auch im Übersetzungsbereich, immer mehr Dienste in „die Cloud“ zu verlagern. Es ist jedoch zu bedenken, dass bspw. beim Einsatz eines internetbasierten maschinellen Übersetzungsdienstes die dort hingeschickten Informationen schnell wieder zu nahezu kompletten Dokumenten zusammengefügt werden können. Oft können Mitarbeiter kaum noch unterschieden, welche Dienste lokal im unternehmensnetz verfügbar sind und welche ggf. direkt mit externen Diensten verknüpft sind. Um bei einem Verlust mobiler Geräte die dort gespeicherten Daten zu schützen, müssen alle entsprechenden Datenspeicher mit einer ausreichend starken Verschlüsselung versehen sein. Dies betrifft bspw. auch Smartphones auf denen E-Mails mit zu schützenden Informationen zwischengespeichert sind. 12.11.2014 RWS Group - www.rws-group.de 14 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  13. 13. In der Presse liest man immer wieder von Aktenfunden verschiedenster Art. Um dieses zu verhindern empfiehlt es sich grundsätzlich die Zahl anzufertigender Ausdrucke zu minimieren. Dies schont sowohl den Geldbeutel als auch die Umwelt. Vor allem reduziert es aber den Aufwand für eine gesicherte Entsorgung. Datenträger, sowohl physische als auch elektronische sind so zu entsorgen, dass eine Wiederherstellung der Daten unmöglich ist. Dies kann man bei Papier durch entsprechendes sicheres Häckseln erreichen. Aber auch elektronische Datenträger wie Disketten, USB-Sticks oder Festplatten sind vor der Entsorgung unbrauchbar zu machen. 12.11.2014 RWS Group - www.rws-group.de 15 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  14. 14. Zugriffskontrolle umfasst alle Maßnahmen mit denen man Sicherstellen kann, dass 1.nur berechtigte Personen Zugriff auf geschützter Informationen erhalten 2.der Personenkreis, der auf geschützte Informationen tatsächlich Zugriff erhält klein und nachvollziehbar ist. 12.11.2014 RWS Group - www.rws-group.de 16 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  15. 15. Zutrittskontrolle ist die Basis um sicherzustellen, dass unbefugte Personen keinen Zutritt zu Bereichen erhalten, wo geschützte Informationen verfügbar sind. Zur Umsetzung empfiehlt die Einführung eines Zonenkonzeptes bspw mit folgenden Zonen: Grüne Zone: Hier gibt es keine speziellen Sicherheitsanforderungen. Es dürfen keine vertraulichen oder geheimen Dokumente bearbeitet werden. Gelbe Zone: Hier gibt es spezielle Sicherheitsanforderungen. Es dürfen vertrauliche Dokumente bearbeitet werden. Rote Zone: Hier gibt es strenge Sicherheitsanforderungen. Es dürfen geheime Dokumente bearbeitet werden. Jeder Wechsel von Personen, Geräten oder Datenträgern (bspw. auch Ausdrucke) unterliegt den Anforderungen des Informationssicherheitskonzeptes. Beispielsweise könnte dies bedeuten, dass Ausdrucke nur in entsprechend gesicherten Transportbehältern über einen Zonenwechsel transportiert werden dürfen. Für den Zutritt zu einer gesicherten Zone (gelb oder rot) wird eine entsprechende personenbezogene Zutrittssicherung eingesetzt. Viele der in diesem Bereich einzusetzenden Prozesse und Technologien sind in Deutschland mitbestimmungspflichtig, d.h. hier muss ggf. auch der 12.11.2014 RWS Group - www.rws-group.de 17 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  16. 16. Betriebsrat in den unternehmen einbezogen werden. tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess 12.11.2014 RWS Group - www.rws-group.de 17
  17. 17. Zusätzlich zur Sicherung der Bereiche müssen natürlich auch die IT-Systeme und ggf. auch die Lager gesichert werden. Bei der Ausgestaltung sind geeignete Identifikationslösungen bspw. über Zwei-Faktor-Authentifizierung vorzusehen, die zum einen einen ausreichenden Schutz gegen Angreifer bieten, auf der anderen Seie aber auch das Verhalten der Anwender berücksichtigen. Eine Passwortrichtlinie, die so sichere Passwörter vorsieht, die dann auch noch oft zu wechseln sind, führt oft dazu, dass die Passwörter dann an ungesicherten Stellen notiert werden. Zum Schutz gegen unbefugte Zugriffe gehört aber auch die kontinuierliche Aktualisierung der eingesetzten Systeme. Dies betrifft sowohl Updates gegen Sicherheitslücken in Betriebssystem und Anwendungsprogrammen wie auch die entsprechenden Updates bspw. in Routern und Firewalls. Hilfreich ist es, die Anzahl der eingesetzten Anwendungen zu begrenzen und insb. die Installation durch Anwender einzuschränken. Damit dies auch von den Anwendern akzeptiert wird, empfiehlt es sich, die Ausstattung mit Anwendungen stark an den Bedürfnissen der Anwender zu orientieren. 12.11.2014 RWS Group - www.rws-group.de 18 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  18. 18. Genau wie ein Zonenkonzept im Büro die vertraulichen und geheimen Informationen sichern soll, braucht es auch eine Separation des Netzwerkes. Datentransfer zwischen den Zonen darf nur auf definierten Schnittstellen erfolgen. 12.11.2014 RWS Group - www.rws-group.de 19 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  19. 19. Oft ist es erforderlich auch vertrauliche Daten zwischen Unternehmen oder zu einzelnen Personen zu übertragen. Grundsätzlich dürfen vertrauliche oder geheime Daten nur verschlüsselt übertragen werden. 12.11.2014 RWS Group - www.rws-group.de 20 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  20. 20. Die einzusetzende Verschlüsselung muss den jeweils aktuellen Standards entsprechen. Im Laufe der Zeit verlieren bestehende Lösungen ggf. durch immer leistungsfähigere Hard- und Software ihre Schutzwirkung. Zur Datenübertragung gehört auch die Verschlüsselung physischer Datenträger wie bspw. USB-Sticks oder die Festplatten mobiler Geräte. 12.11.2014 RWS Group - www.rws-group.de 21 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  21. 21. Der Einsatz von Webservices gewinnt im Unternehmensalltag zunehmend an Bedeutung. Aus Sicht der Informationssicherheit dürfen in gesicherten Bereichen nur Webservices eingesetzt werden, die explizit als „sicher“ eingestuft werden. Die Sicherheitseinstufung dieser Dienste ist regelmäßig zu überprüfen. Alle anderes Webservices sollten gesperrt werden. 12.11.2014 RWS Group - www.rws-group.de 22 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  22. 22. Bei einer physischen Datenübertragung bspw. über Ausdrucke sind diese in speziell gesicherten Transportbehältern zu sichern. Zusätzlich empfiehlt sich die Kennzeichnung vertraulicher und geheimer Informationen um den Mitarbeitern den Status dieser Dokumente transparent zu machen. 12.11.2014 RWS Group - www.rws-group.de 23 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  23. 23. Alle im Zuge eines Informationssicherheitskonzeptes umzusetzenden Maßnahmen basieren sowohl auf dem Einsatz von Technologien als auch auf der Umsetzung der beteiligten Personen. Dies erfordert eine verständliche und umsetzbare Dokumentation der von den Personen einzuhaltenden Verhaltensregeln. Neben der Dokumentation bedarf es aber auch der kontinuierlichen Schulung um die Aufmerksamkeit bei den Personen wach zu halten. Trotzdem ist davon auszugehen, dass die meisten Menschen sich allzu leicht von entsprechend geschulten Angreifern überrumpeln lassen. Dies sollte bei der Konzeption von Sicherheitsmaßnahmen stets bedacht werden. 12.11.2014 RWS Group - www.rws-group.de 24 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  24. 24. Übersetzungsprozesse sind in vielen Unternehmen geprägt durch den Einsatz von Übersetzungsdienstleistern und in der Folge wesentlich durch den Einsatz freiberuflicher Übersetzer geprägt. Daraus ergeben sich besondere Herausforderungen für die Umsetzung von Informationssicherheit. Für die Bearbeitung von vertraulichen oder geheimen Dokumenten in diesem Umfeld bedarf es neben der Umsetzung von technischen Lösungen zur Datenübertragung und Speicherung vor allem auch einer genauen Festlegung des Ablaufs der gesamten Bearbeitungskette und der steten Aufmerksamkeit aller beteiligten Personen. 12.11.2014 RWS Group - www.rws-group.de 25 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  25. 25. Im ersten Schritt ist es der Auftraggeber, der die umzusetzenden Anforderungen für alle weiteren Maßnahmen zur Einhaltung der Informationssicherheit definiert. Hierzu gehört auch, dass er die Dokumente entsprechend des Grades der Vertraulichkeit klassifiziert. Darauf aufbauend ist dann eine entsprechende Vereinbarung mit dem Übersetzungsdienstleister abzuschließen, in der die Maßnahmen zur Informationssicherheit festgelegt werden. Es obliegt zudem dem Auftraggeber die Einhaltung der Maßnahmen zu überprüfen. Dies gilt sowohl für den Einsatz externer Übersetzungsdienstleister als auch beim Einsatz einer internen Übersetzungsabteilung. Auf Seiten des Übersetzungsdienstleisters ist dann ein Konzept zur Informationssicherheit zu erstellen und umzusetzen, dass den Anforderungen der Vereinbarung mit dem Auftraggeber genügt. 12.11.2014 RWS Group - www.rws-group.de 26 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  26. 26. Hierzu muss der Übersetzungsdienstleister in einer Vielzahl von Bereichen technische und prozessuale Lösungen anbieten. Bereits zwischen Auftraggeber und Übersetzungsdienstleister muss eine sichere Datenübertragung eingerichtet werden. Je nach spezifischer Anforderung beinhaltet dies neben dem Transfer von Dateien auch eine Verschlüsselung bspw. von Telefonaten. Im Innenbereich muss der Übersetzungsdienstleister für eine sichere IT- Umgebung und eine angemessene Arbeitsumgebung bspw. durch die Umsetzung eines Zonenkonzeptes Sorge tragen. Alle Prozesse, die mit der Bearbeitung vertraulicher Informationen zu tun haben, sind zu dokumentieren und die Mitarbeiter sind in der Umsetzung dieser Prozesse kontinuierlich zu schulen. Es ist von besonderer Bedeutung, dass sich die Mitarbeiter stets ihrer Verantwortung für die Wahrung der Informationssicherheit bewusst sind. Verantwortung bedeutet jedoch auch, dass das Unternehmen, vertreten durch die Unternehmensleistung, seine Prozesse so gestaltet, dass die Einhaltung der Informationssicherheit wahrscheinlich ist. Dies umfasst insb. auch die Auswahl der Mitarbeiter und Lieferanten. Mitarbeiter oder Lieferanten, die sich in einer wirtschaftlich ungenügenden Situation befinden, unterliegen möglicherweise einer zu großen Versuchung. Dies betrifft sowohl einen möglichen Geheimnisverrat wie auch einfach der Weigerung zusätzlichen Aufwand für die Wahrung der Informationssicherheit zu betreiben. 12.11.2014 RWS Group - www.rws-group.de 27 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  27. 27. Bei der Auswahl der Mitarbeiter oder Lieferanten bedarf es daher eines strukturierten Prozesses. Da diese Prozesse oft einen relevanten Zeitaufwand bedeuten, muss der Übersetzungsdienstleister hier bereits vor der Erteilung von konkreten Aufträgen für die Bereitstellung der erforderlichen Ressourcen sorgen. Hierzu benötigt er die entsprechende Unterstützung durch den Auftraggeber, der ihn über seinen zu erwartenden Bedarf rechtzeitig informiert. Es ist davon auszugehen, dass nur ein kleinerer Kreis von Übersetzern für die Bearbeitung von vertraulichen oder geheimen Dokumenten ad hoc zur Verfügung steht. Dies ist vor allem bei der zeitlichen Planung von Übersetzungen durch den Auftraggeber zu berücksichtigen. Entsprechend der Anforderungen zwischen Auftraggeber und Übersetzungsdienstleister sind auch zwischen Übersetzungsdienstleister und Lieferanten die erforderlichen Rahmenbedingungen in Bezug auf Datenübertragung und sichere Arbeitsumgebung umzusetzen und zu kontrollieren. 12.11.2014 RWS Group - www.rws-group.de 28 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  28. 28. Je nach den spezifischen Anforderungen entsprechend der Klassifizierung der zu bearbeitenden Dokumente erhalten Mitarbeiter oder Lieferanten nach Prüfung entsprechende Freigaben. Üblicherweise werden als unterste Ebene einfache NDAs abgeschlossen. Für die Bearbeitung vertraulicher Dokumente empfiehlt es sich darüber hinaus detailliertere Sicherheitsvereinbarungen mit konkreten Verhaltensregeln abzuschließen. Für die Bearbeitung vertraulicher Dokumente empfiehlt es sich eine noch weeitergehende Sicherheitsvereinbarung abzuschließen, die bei Lieferanten auch eine Überprüfung der Arbeitsumgebung beinhaltet. 12.11.2014 RWS Group - www.rws-group.de 29 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  29. 29. Die Umsetzung eines Zonenkonzeptes bedeutet oft einen nennenswerten finanziellen Aufwand da es oft mit baulichen Veränderungen beim Übersetzungsdienstleister verbunden ist. Zudem kann ein Zonenkonzept auch organisatorische Veränderungen mit sich bringen. Oft arbeiten die Mitarbeiter eines Übersetzungsdienstleisters kundenbezogen. Da aber nicht alle Aufträge eines Kunden spezifische Anforderungen der Vertraulichkeit haben, müssten entweder alle Aufträge eines Kunden in einer geschützten Zone umgesetzt werden, oder die Mitarbeiter beim Übersetzungsdienstleister wechseln je nach Auftrag ihren Arbeitsplatz oder es werden andere Mitarbeiter je nach Klassifikation der Dokumente beim Übersetzungsdienstleister eingesetzt. In jeder der drei Varianten entsteht ein erhöhter Aufwand beim Übersetzungsdienstleister. Bei der Einführung eines Zonenkonzeptes ist auch zu bedenken, dass bspw. die entstehenden Translation Memorys vertrauliche Informationen beinhalten können und separat von den allgemeinen Translation Memorys gehalten werden müssen. 12.11.2014 RWS Group - www.rws-group.de 30 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  30. 30. Zur Umsetzung einer sicheren IT-Struktur bedarf es sicherer Lösungen für den Zugriff auf Informationen und zum Schutz gegen Angriffe von Außen. In der Praxis sind diese Lösungen kontinuierlich zu überprüfen und bspw. durch Updates auf einem aktuellen Stand zu halten. Da es bei der Vielzahl von verfügbaren Anwendungen und der komplexen Interaktion zwischen diesen Anwendungen kaum möglich ist alle Szenarien zu überprüfen, ist in geschützten Umgebungen die Anzahl der eingesetzten Anwendungen zu minimieren. Das gleiche gilt für die Verfügbarkeit anderer Dienste insb. wenn sie Kommunikation oder Datenspeicherung außerhalb der geschützten Zone benötigen oder ermöglichen. 12.11.2014 RWS Group - www.rws-group.de 31 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  31. 31. Der größte Risikofaktor bei der Umsetzung von Informationssicherheit ist der Mensch. Die Auswahl der eingesetzten Mitarbeiter oder Lieferanten verdient daher die höchste Aufmerksamkeit. Zeitdruck bei der Mitarbeiterauswahl ist daher auf jeden Fall zu vermeiden. Dem Auftraggeber obliegt es dabei durch eine vorausschauende Planung dem Übersetzungsdienstleister die Möglichkeit zu geben, die erforderlichen Mitarbeiter frühzeitig zu rekrutieren und die jeweiligen Voraussetzungen für den Einsatz zu schaffen. Dies umfasst auch die erforderlichen wirtschaftlichen Spielräume die den Zusatzaufwand für die Wahrung der Informationssicherheit abdecken. Dem Übersetzungsdienstleister obliegt es, die Mitarbeiter und Lieferanten kontinuierlich zu schulen. In Untersuchungen zeigt sich, dass bspw. der Erfolg von Phishing Mails an Mitarbeiter in Unternehmen nach einer Schulung von ca. 25 % auf 20 % sinkt. Bereits nach wenigen Wochen steigt die Zahl jedoch wieder an. 12.11.2014 RWS Group - www.rws-group.de 32 tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess
  32. 32. 34 Weitere Informationen zur Informationssicherheit im Übersetzungsprozess erhalten Sie über RWS Group Deutschland GmbH rws@rws-group.de Hans Pich hans.pich@rws-group.de 12.11.2014 RWS Group - www.rws-group.de tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess

×